Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Important
À compter du 1er mai 2025, Azure AD B2C ne sera plus disponible pour les nouveaux clients. Pour plus d’informations, consultez notre FAQ.
Votre profil utilisateur d’annuaire Azure Active Directory B2C (Azure AD B2C) est fourni avec un ensemble d’attributs intégrés, tels que le prénom, le nom de famille, la ville, le code postal et le numéro de téléphone. Vous pouvez étendre le profil utilisateur avec vos propres données d’application sans nécessiter de magasin de données externe.
L’API Microsoft Graph prend en charge la plupart des attributs que vous pouvez utiliser avec Azure Cet article décrit les attributs de profil utilisateur pris en charge par Azure AD B2C. Il note également ces attributs que Microsoft Graph ne prend pas en charge et les attributs de l’API Microsoft Graph qu’Azure AD B2C ne doivent pas utiliser.
Important
Vous ne devez pas utiliser d’attributs intégrés ou d’extension pour stocker des données personnelles sensibles, telles que les informations d’identification du compte, les numéros d’identification du gouvernement, les données de titulaires de carte, les données de compte financier, les informations de santé ou les informations d’arrière-plan sensibles.
Vous pouvez également intégrer des systèmes externes. Par exemple, vous pouvez utiliser Azure AD B2C pour l’authentification, mais déléguer à une base de données de gestion de la relation client externe (CRM) ou de fidélité client comme source faisant autorité des données client. Pour plus d’informations, consultez la solution de profil distant .
Type de ressource utilisateur Microsoft Entra
Le profil utilisateur d’annuaire Azure AD B2C prend en charge les attributs de type de ressource utilisateur répertoriés dans le tableau ci-dessous. Il fournit les informations suivantes sur chaque attribut :
- Nom d’attribut utilisé par Azure AD B2C (suivi du nom Microsoft Graph entre parenthèses, le cas échéant)
- Type de données d’attribut
- Description de l’attribut
- Indique si l’attribut est disponible dans le portail Azure
- Indique si l’attribut peut être utilisé dans un flux utilisateur
- L'attribut peut-il être utilisé dans un profil technique Microsoft Entra ID pour une stratégie personnalisée et dans quelle section (<InputClaims>, <OutputClaims> ou <PersistedClaims>) ?
Nom | Type de données | Descriptif | Disponible dans le portail Azure | Utilisé dans les flux utilisateur | Servant dans une stratégie personnalisée |
---|---|---|---|---|---|
accountEnabled | Booléen | Indique si le compte d’utilisateur est activé ou désactivé : true si le compte est activé, sinon false. | Oui | Non | Persistant, Sortie |
tranche d'âge | Chaîne | Groupe d’âge de l’utilisateur. Valeurs possibles : null, Indéfini, Mineur, Adulte, Non adulte. | Oui | Non | Persistant, Sortie |
alternativeSecurityId (Identités) | Chaîne | Identité d’utilisateur unique du fournisseur d’identité externe. | Non | Non | Entrée, Persistant, Sortie |
alternativeSecurityIds (Identités) | collection alternative d'identifiants de sécurité | Collection d’identités utilisateur provenant de fournisseurs d’identité externes. | Non | Non | Persistant, Sortie |
ville | Chaîne | La ville de résidence de l’utilisateur.. Longueur maximale 128. | Oui | Oui | Persistant, Sortie |
consentementFourniPourMineur | Chaîne | Indique si le consentement a été fourni pour un mineur. Valeurs autorisées : null, accordé, refusé ou nonRequis. | Oui | Non | Persistant, Sortie |
pays | Chaîne | Pays/région de résidence de l’utilisateur.. Par exemple : États-Unis ou Royaume-Uni. Longueur maximale 128. | Oui | Oui | Persistant, Sortie |
createdDateTime | Date et heure | Date de création de l’objet utilisateur. Lecture seule. | Non | Non | Persistant, Sortie |
type de création | Chaîne | Si le compte d’utilisateur a été créé en tant que compte local pour un locataire Azure Active Directory B2C, la valeur est LocalAccount ou nameCoexistence. Lecture seule. | Non | Non | Persistant, Sortie |
dateDeNaissance | Date (Jour/Mois/Année) | Date de naissance. | Non | Non | Persistant, Sortie |
département | Chaîne | Nom du service dans lequel l’utilisateur fonctionne. Longueur maximale 64. | Oui | Non | Persistant, Sortie |
nom d’affichage | Chaîne | Nom d’affichage de l’utilisateur. Longueur maximale 256. | Oui | Oui | Persistant, Sortie |
fac-similéTéléphoneNuméro1 | Chaîne | Numéro de téléphone de l’ordinateur de télécopie professionnel de l’utilisateur. | Oui | Non | Persistant, Sortie |
givenName | Chaîne | Nom donné (prénom) de l’utilisateur. Longueur maximale 64. | Oui | Oui | Persistant, Sortie |
Intitulé du poste | Chaîne | Intitulé du poste de l’utilisateur. Longueur maximale 128. | Oui | Oui | Persistant, Sortie |
ImmutableID | Chaîne | Identificateur généralement utilisé pour les utilisateurs migrés à partir d’Active Directory local. | Non | Non | Persistant, Sortie |
legalAgeGroupClassification | Chaîne | Classification du groupe d’âge légal. En lecture seule et calculé en fonction des propriétés ageGroup et consentProvidedForMinor. Valeurs autorisées : null, mineurSansConsentementParental, mineurAvecConsentementParental, mineurPasDeConsentementParentalRequis, pasAdulte et adulte. | Oui | Non | Persistant, Sortie |
JuridiquePays1 | Chaîne | Pays/Région à des fins légales. | Non | Non | Persistant, Sortie |
mailNickName | Chaîne | Alias de messagerie pour l’utilisateur. Longueur maximale 64. | Non | Non | Persistant, Sortie |
mobile (téléphone mobile) | Chaîne | Numéro de téléphone cellulaire principal pour l’utilisateur. Longueur maximale 64. | Oui | Non | Persistant, Sortie |
netId | Chaîne | ID réseau. | Non | Non | Persistant, Sortie |
objectId | Chaîne | Identificateur global unique (GUID) qui est l’identificateur unique de l’utilisateur. Exemple : 12345678-9abc-def0-1234-56789abcde. Lecture seule, Non modifiable. | Lecture seule | Oui | Entrée, Persistant, Sortie |
autresCourriels | Collection de chaînes | Liste d’autres adresses e-mail pour l’utilisateur. Exemple : [" »bob@contoso.com, « Robert@fabrikam.com"]. REMARQUE : Les caractères d’accentuation ne sont pas autorisés. | Oui (autre e-mail) | Non | Persistant, Sortie |
mot de passe | Chaîne | Mot de passe du compte local lors de la création de l’utilisateur. | Non | Non | Persistant |
politiques de mot de passe | Chaîne | Stratégie du mot de passe. Il s’agit d’une chaîne composée de différents noms de stratégie séparés par des virgules. Par exemple, « DisablePasswordExpiration, DisableStrongPassword ». | Non | Non | Persistant, Sortie |
Nom du bureau de livraison physique (Emplacement du bureau) | Chaîne | Emplacement du bureau dans le lieu d’affaires de l’utilisateur. Longueur maximale 128. | Oui | Non | Persistant, Sortie |
postalCode | Chaîne | Code postal de l’adresse postale de l’utilisateur. Le code postal est spécifique au pays/à la région de l’utilisateur. Aux États-Unis d’Amérique, cet attribut contient le code postal. Longueur maximale 40. | Oui | Non | Persistant, Sortie |
languePréférée | Chaîne | Langue préférée de l’utilisateur. Le format de langage préféré est basé sur RFC 4646. Le nom est une combinaison d’un code de culture en minuscules à deux lettres ISO 639 associé à la langue et d’un code de sous-culture ISO 3166 à deux lettres majuscules associé au pays ou à la région. Par exemple : en-USou es-ES. | Non | Non | Persistant, Sortie |
refreshTokensValidFromDateTime (signInSessionsValidFromDateTime) | Date et heure | Tous les jetons d’actualisation émis avant cette date ne sont pas valides et les applications obtiennent une erreur lors de l’utilisation d’un jeton d’actualisation non valide pour acquérir un nouveau jeton d’accès. Dans ce cas, l’application doit acquérir un nouveau jeton d’actualisation en effectuant une demande au point de terminaison autorisé. Lecture seule. | Non | Non | Sortie |
signInNames (Identités) | Chaîne | Nom de connexion unique de l’utilisateur de compte local de n’importe quel type dans le répertoire. Utilisez cet attribut pour obtenir un utilisateur avec une valeur de connexion sans spécifier le type de compte local. | Non | Non | Entrée |
signInNames.userName (Identités) | Chaîne | Nom d’utilisateur unique de l’utilisateur du compte local dans l’annuaire. Utilisez cet attribut pour créer ou obtenir un utilisateur avec un nom d’utilisateur de connexion spécifique. La spécification de cet attribut dans PersistedClaims seul pendant l’opération Patch supprime d’autres types de signInNames. Si vous souhaitez ajouter un nouveau type de signInNames, vous devez également conserver les signInNames existants. REMARQUE : Les caractères d’accentuation ne sont pas autorisés dans le nom d’utilisateur. | Non | Non | Entrée, Persistant, Sortie |
signInNames.phoneNumber (Identités) | Chaîne | Numéro de téléphone unique de l’utilisateur du compte local dans l’annuaire. Utilisez cet attribut pour créer ou obtenir un utilisateur avec un numéro de téléphone de connexion spécifique. La spécification de cet attribut dans PersistedClaims seul pendant l’opération Patch supprime d’autres types de signInNames. Si vous souhaitez ajouter un nouveau type de signInNames, vous devez également conserver les signInNames existants. | Non | Non | Entrée, Persistant, Sortie |
signInNames.emailAddress (Identités) | Chaîne | Adresse e-mail unique de l’utilisateur du compte local dans l’annuaire. Utilisez cet attribut pour créer ou obtenir un utilisateur avec une adresse e-mail de connexion spécifique. La spécification de cet attribut dans PersistedClaims seul pendant l’opération Patch supprime d’autres types de signInNames. Si vous souhaitez ajouter un nouveau type de signInNames, vous devez également conserver les signInNames existants. | Non | Non | Entrée, Persistant, Sortie |
état | Chaîne | État ou province dans l’adresse de l’utilisateur. Longueur maximale 128. | Oui | Oui | Persistant, Sortie |
rueAdresse | Chaîne | Adresse postale du lieu d’affaires de l’utilisateur. Longueur maximale 1024. | Oui | Oui | Persistant, Sortie |
strongAuthentication AlternativeNuméro de téléphone1 | Chaîne | Numéro de téléphone secondaire de l’utilisateur, utilisé pour l’authentification multifacteur. | Oui | Non | Persistant, Sortie |
strongAuthenticationEmailAddress1 | Chaîne | Adresse SMTP de l’utilisateur. Exemple : «bob@contoso.com » Cet attribut est utilisé pour la connexion avec la stratégie de nom d’utilisateur, pour stocker l’adresse e-mail de l’utilisateur. Adresse e-mail utilisée dans un flux de réinitialisation de mot de passe. Les caractères d’accentuation ne sont pas autorisés dans cet attribut. | Oui | Non | Persistant, Sortie |
strongAuthenticationPhoneNumber2 | Chaîne | Numéro de téléphone principal de l’utilisateur, utilisé pour l’authentification multifacteur. | Oui | Non | Persistant, Sortie |
nom de famille | Chaîne | Nom de l’utilisateur (nom de famille ou nom). Longueur maximale 64. | Oui | Oui | Persistant, Sortie |
numéro de téléphone (première entrée de téléphones professionnels) | Chaîne | Numéro de téléphone principal de la place d’entreprise de l’utilisateur. | Oui | Non | Persistant, Sortie |
Nom d'utilisateur principal | Chaîne | Nom d’utilisateur principal (UPN) de l’utilisateur. L’UPN est un nom de connexion de style Internet pour l’utilisateur basé sur la norme Internet RFC 822. Le domaine doit être présent dans la collection de domaines vérifiés du locataire. Cette propriété est requise lorsqu’un compte est créé. Non modifiable. | Non | Non | Entrée, Persistant, Sortie |
usageLocation | Chaîne | Requis pour les utilisateurs auxquels des licences sont attribuées en raison d’une exigence légale pour vérifier la disponibilité des services dans les pays/régions. Ne peut pas accepter la valeur Null. Code pays/région à deux lettres (norme ISO 3166). Pour obtenir des exemples, US, JP et GB. | Oui | Non | Persistant, Sortie |
type d'utilisateur | Chaîne | Valeur de chaîne qui peut être utilisée pour classifier les types d’utilisateurs dans votre répertoire. La valeur doit être Member. Lecture seule. | Lecture seule | Non | Persistant, Sortie |
userState (externalUserState)3 | Chaîne | Pour le compte Microsoft Entra B2B uniquement, et indique si l'invitation est en attente d'acceptation ou acceptée. | Non | Non | Persistant, Sortie |
userStateChangedOn (externeUserStateChangeDateTime)3 | Date et heure | Affiche l’horodatage pour la dernière modification apportée à la propriété UserState. | Non | Non | Persistant, Sortie |
1 Non pris en charge par Microsoft Graph
2 Pour plus d’informations, consultez l’attribut numéro de téléphone MFA
3 Ne doit pas être utilisé avec Azure AD B2C
Attributs requis
Pour créer un compte d’utilisateur dans le répertoire Azure AD B2C, fournissez les attributs requis suivants :
Identités : avec au moins une entité (un compte local ou fédéré).
Profil de mot de passe : si vous créez un compte local, indiquez le profil de mot de passe.
Attribut de nom d’affichage
displayName
est le nom à afficher dans la gestion des utilisateurs du portail Azure pour l’utilisateur et dans le jeton d’accès qu’Azure AD B2C retourne à l’application. Cette propriété est requise.
Attribut Identities
Un compte client, qui peut être un consommateur, un partenaire ou un citoyen, peut être associé à ces types d’identité :
- Identité locale : le nom d’utilisateur et le mot de passe sont stockés localement dans le répertoire Azure AD B2C. Nous faisons souvent référence à ces identités en tant que « comptes locaux ».
- Identité fédérée : également appelée comptes sociaux ou d’entreprise , l’identité de l’utilisateur est gérée par un fournisseur d’identité fédéré comme Facebook, Microsoft, ADFS ou Salesforce.
Un utilisateur disposant d’un compte client peut se connecter avec plusieurs identités. Par exemple, nom d’utilisateur, e-mail, ID d’employé, ID du gouvernement et autres. Un seul compte peut avoir plusieurs identités, à la fois locales et sociales, avec le même mot de passe.
Dans l’API Microsoft Graph, les identités locales et fédérées sont stockées dans l’attribut utilisateur identities
, qui est de type objectIdentity. La identities
collection représente un ensemble d’identités utilisées pour se connecter à un compte d’utilisateur. Cette collection permet à l’utilisateur de se connecter au compte d’utilisateur avec l’une de ses identités associées. L’attribut identités peut contenir jusqu’à 10 objets objectIdentity . Chaque objet contient les propriétés suivantes :
Nom | Catégorie | Descriptif |
---|---|---|
signInType | ficelle | Spécifie les types de connexion utilisateur dans votre répertoire. Pour le compte local : emailAddress , emailAddress1 , emailAddress2 , emailAddress3 , userName ou tout autre type de votre choix. Le compte social doit être défini sur federated . |
émetteur | ficelle | Spécifie l’émetteur de l’identité. Pour les comptes locaux (où signInType n’est pas federated ), cette propriété est le nom de domaine par défaut du locataire B2C local, par exemple contoso.onmicrosoft.com . Pour l’identité sociale (où signInType est federated ) la valeur est le nom de l’émetteur, par exemple facebook.com |
issuerAssignedId | ficelle | Spécifie l’identificateur unique attribué à l’utilisateur par l’émetteur. La combinaison de issuer et issuerAssignedId doit être unique au sein de votre locataire. Pour le compte local, lorsque signInType est défini sur emailAddress ou userName , il représente le nom de connexion de l'utilisateur.Lorsque signInType est défini sur :
|
L’extrait de code JSON suivant montre l’attribut Identités , avec une identité de compte local avec un nom de connexion, une adresse e-mail comme connexion et une identité sociale.
"identities": [
{
"signInType": "userName",
"issuer": "contoso.onmicrosoft.com",
"issuerAssignedId": "johnsmith"
},
{
"signInType": "emailAddress",
"issuer": "contoso.onmicrosoft.com",
"issuerAssignedId": "jsmith@yahoo.com"
},
{
"signInType": "federated",
"issuer": "facebook.com",
"issuerAssignedId": "5eecb0cd"
}
]
Pour les identités fédérées, selon le fournisseur d’identité, l’issuerAssignedId est une valeur unique pour un utilisateur donné par application ou compte de développement. Configurez la stratégie Azure AD B2C avec le même ID d’application qu’attribue le fournisseur social ou qu’une autre application attribue au sein du même compte de développement.
Propriété de profil de mot de passe
Pour une identité locale, l’attribut passwordProfile est requis et contient le mot de passe de l’utilisateur. L’attribut forceChangePasswordNextSignIn
indique si un utilisateur doit réinitialiser le mot de passe lors de la connexion suivante. Pour gérer une réinitialisation de mot de passe forcée, utilisez les instructions de configuration du flux de réinitialisation de mot de passe forcé.
Pour une identité fédérée (sociale), l’attribut passwordProfile n’est pas obligatoire.
"passwordProfile" : {
"password": "password-value",
"forceChangePasswordNextSignIn": false
}
Attribut de stratégie de mot de passe
La stratégie de mot de passe Azure AD B2C (pour les comptes locaux) est basée sur la stratégie de force de mot de passe forte microsoft Entra ID. Les stratégies d’inscription ou de réinitialisation de mot de passe Azure AD B2C nécessitent cette force de mot de passe forte et n’expirent pas.
Dans les scénarios de migration utilisateur, si les comptes que vous souhaitez migrer ont une force de mot de passe plus faible que la force de mot de passe forte appliquée par Azure AD B2C, vous pouvez désactiver l’exigence de mot de passe fort. Pour modifier la stratégie de mot de passe par défaut, définissez l’attribut passwordPolicies
sur DisableStrongPassword
. Par exemple, vous pouvez modifier la demande d’utilisateur créée comme suit :
"passwordPolicies": "DisablePasswordExpiration, DisableStrongPassword"
Attribut de numéro de téléphone authentification multifacteur
Lorsque vous utilisez un téléphone pour l’authentification multifacteur (MFA), le téléphone mobile est utilisé pour vérifier l’identité de l’utilisateur. Pour ajouter un nouveau numéro de téléphone par programmation, mettre à jour, obtenir ou supprimer le numéro de téléphone, utilisez la méthode d’authentification par téléphone de l’API MS Graph.
Dans les stratégies personnalisées d'Azure AD B2C, le numéro de téléphone est disponible via le strongAuthenticationPhoneNumber
type de réclamation.
Attributs d’extension
Chaque application orientée client a des exigences uniques pour que les informations soient collectées. Votre tenant Azure AD B2C est fourni avec un ensemble intégré d'informations stockées dans des propriétés, telles que le prénom, le nom de famille et le code postal. Avec Azure AD B2C, vous pouvez étendre l’ensemble des propriétés stockées dans chaque compte client. Pour plus d’informations, consultez Ajouter des attributs utilisateur et personnaliser l’entrée utilisateur dans Azure Active Directory B2C
Les attributs d’extension étendent le schéma des objets utilisateur dans le répertoire. Les attributs d’extension ne peuvent être inscrits que sur un objet d’application, même s’ils peuvent contenir des données pour un utilisateur. L’attribut d’extension est attaché à l’application appelée b2c-extensions-app
. Ne modifiez pas cette application, car elle est utilisée par Azure AD B2C pour stocker les données utilisateur. Vous trouverez cette application sous Inscriptions d’applications Microsoft Entra.
En savoir plus sur Azure AD B2Cb2c-extensions-app
.
Remarque
- Vous pouvez écrire jusqu’à 100 attributs d’extension dans n’importe quel compte d’utilisateur.
- Si l’application b2c-extensions-app est supprimée, ces attributs d’extension sont supprimés de tous les utilisateurs, ainsi que les données qu’ils contiennent.
- Si un attribut d’extension est supprimé par l’application, il est supprimé de tous les comptes d’utilisateur et les valeurs sont supprimées.
Les attributs d’extension dans l’API Microsoft Graph sont nommés à l’aide de la convention extension_ApplicationClientID_AttributeName
, où :
- Il
ApplicationClientID
s’agit de l’ID d’application (client) de l’applicationb2c-extensions-app
. Découvrez comment rechercher l’application extensions. - Le
AttributeName
est le nom de l’attribut d’extension.
L’ID d’application (client) lorsqu’il est utilisé pour créer le nom de l’attribut d’extension n’inclut pas de traits d’union. Par exemple:
"extension_831374b3bd5041bfaa54263ec9e050fc_loyaltyNumber": "212342"
Les types de données suivants sont pris en charge lors de la définition d’un attribut dans une extension de schéma :
Catégorie | Remarques |
---|---|
Booléen | Valeurs possibles : true ou false. |
Date et heure | À indiquer au format ISO 8601. La valeur est stockée au format UTC. |
Nombre entier | Valeur 32 bits. |
Chaîne | 256 caractères maximum. |
Contenu connexe
En savoir plus sur les attributs d’extension :